Sitio personal de Ariel M. Liguori De Gottig

Friday, March 27

Mi Biblioteca: Todo lo que leí y lo que esta por llegar...

Tras la adquisición de nuevos chiches (leáse libros) se me ocurrió dejar acá una reseña de los que estoy leyendo o los que incorpore recientemente:

  • Inside Cisco IOS Software Architecture (CCIE Professional Development): Review


  •  Cisco Express Forwarding: Review 

 
  • Gray Hat Hacking - The Ethical Hacker's Handbook: Review 

  
  •  Internet Routing Architectures: Review


Eso es todo lo que consegui en estas ultimas semanas, el gray hat hacking lo estoy terminando aunque es un libro muy peculiar con muchas horas de practica encima. Para mantener el equilibrio estoy leyendo el Inside Cisco IOS Arch. que me esta encantando, a pesar de ser veijo realmente es muy bueno.
Luego pienso seguir con el Internet Routing y por ultimo el CEF.
Ya les contaré como viene la mano, y poco a poco publicare los libros que tengo, si alguno quiere se pasa y se los presto :)

Saludos, Leer más...

Evitando SQL Injections.-

SQL Injections, un tema amplio si los hay, y la vulnerabilidad nro 2 en el top ten del OWASP. Mucho hemos hablado de ella, e inclusive ya he armado pappers que saldran en las proximas notas de la revista NextIT. Sin embargo nadie se atreve a contarnos los countermeasures a implementar para evitarlo, o eso es lo que creemos.
OWASP se ha encargado en parte de esto y nos ha dejado su SQL Injection Prevention Cheat Sheet. Este tema ha salido a flote debido a una discusion en el grupo de Pen-Testing de insecure.org, en particular se referia a la utilizacion de JDBC y como éste nos ayuda a evitar las SQLi. Al margen les dejo un link, también de OWASP, que nos indica como prevenir SQLi en Java: Preventing SQL Injection in Java.-
Proximamanete despues de la serie de pappers de SQLi que estpy elaborando me omare el trabajo digno de un WhiteHAT y escribire un buen manualcito de como cuidarnos de este tipo de ataques.

Saludos, Leer más...

Wednesday, March 25

Serialized SQL Injection - by Maligno

Enhorabuena, finalmente el maligno ha finalizado la serie de posts dedicados ha introducirnos en esta nueva "técnica" para aprovecharse de las SQL Injections.
Les dejo los links a cada uno de los artículos aunque es recomendable pasarse por su página y ver que hay mucha más info dando vueltas.

*************************************************************
Serialized SQL Injection (Parte I de VI)
Serialized SQL Injection (Parte II de VI)
Serialized SQL Injection (Parte III de VI)
Serialized SQL Injection (Parte IV de VI)
Serialized SQL Injection (Parte V de VI)
Serialized SQL Injection (Parte VI de VI)
*************************************************************

Saludos, Leer más...

¿El fin de IPTables?

Si bien aún ésto no ha ocurrido es lo qeu muchos ya esperan. Nada personal contra IPTables que ya lleva varios años acompañándonos, sin embargo la gente de netfilter nos hace llegar ahora nftables! y no es sorpresa que ellos mismos lo anuncien como el sucesor de iptables. nftables ha sido programado de cero incluye nuevas funcionalidades y una nueva forma de ver las cosas. Esperemos que todo vaya bien! Leer más...

CISSP Demo en Español.-

Está disponible en mediasite la demo del curso CISSP en Español que se comenzará a dictar dentro de unos meses para todos aquellos de habla hispana que quieran lograr la certificación, les dejo el link a la demo:

http://salesdemo.mediasite.com/salesdemo5/Viewer/?peid=5c00d7274aca460699a1379fb8cd7d2e

Saludos, Leer más...

Tuesday, March 24

Jornada de concientización: Uso adecuado de internet.-

Copio información recibida...

---

En el marco del Quinto Congreso Argentino de Seguridad de Información
Segurinfo 2009 - se llevará a cabo la JORNADA DE CONCIENTIZACIÓN USO
ADECUADO DE
INTERNET

- Fecha y Hora: Jueves 26 de marzo de 2009 de 14:30 a 19:00 hs
- Lugar: Buenos Aires Sheraton Hotel, Salón Golden Horn
- Costo: ENTRADA LIBRE Y GRATUITA*

- Agenda:
- 15:00 hs: Redes Sociales: las Redes Sociales han proliferado, pero
realmente ¿Sabemos de qué se trata?.
- 16:00 hs: Las generaciones digitales y su relación con los padres:
Brecha Generacional, Comportamiento Social, Análisis Sociológico.
- 17:30 hs: ¿Estamos a Tiempo?: Causas que produjeron los cambios en
la Sociedad Virtual.
- 18:30 hs: Cierre de la Actividad

La participación será gratuita, solo se requiere de registración previa.
Dicha registración deberá ser efectuada telefónicamente al 4951-2631 /
2855 o vía mail.-

---- Leer más...

GNS3, lo que un CCNA, CCNP, CCIE siempre quizo.-

Así es, charlas con amigos de la vida me han demostrado la facilidad que poseemos nosotros, "los jovenes", los mucachos que podemos disponer de maravillosas herramientas como Dynamips, Dynagen, Pemu y el valiosisimo GNS3.
¿Por que?
Bueno, es que ellos no tenian emuladores de Pix, ASA (ni siquiera existia!), routers de core, no podian hacer escenarios de prueba de BGP, MPLS y demás. Pero nosotros SI, y para eso hoy les presento una muy buena herramienta que ha surgido y que ha evolucionado (ahora hasta viene integrada con el PEMU, lo cual hace unos años cuando apenas este se habia desarrollado nos hubiese venido barbaro). Esa herramienta es el GNS3,"a free powerful network simulator based on Cisco IOS", algo que vale la pena probar y que sin duda si nuestra meta es lograr la cerificacion CCN* o CCIE deberemos apreciarla!



Saludos y a probarla!

PD: No insistan, no les dare imagenes de Routers/Switchs/Firewalls ó IDS (Para los colgados de otros posts) Leer más...

OpenVAS: Open Vulnerability Assessment System

Sí, para todos aquellos que andaban buscando alternativas para el Nessus que mejor que contar con un proyecto que nació en la misma cuna y al crecer se forkeó, ese proyecto es OpenVas y realmente promete.




 Les recomiendo le den una mirada y lo empeicen a aprovechar.

Página oficial del proyecto: OpenVas
Saludos, Leer más...

Monday, March 23

!exploitable Crash Analyzer - MSEC Debugger Extensions - Para que no cometan mas errores!

Enhorabuena, Microsoft ha lanzado su nuevo juguete !exploitable Crash Analyzer, cuya finalidad es analizar código en búsqueda de vulnerabilidades típicas, de este modo el producto final ya estará testeado de una manera mas exhaustiva y no será tan sencillo encontrar en ellos los fallos comunes.
Esperemos que sirva. Ya ha sido bien recibido incluso por Dan Kaminsky el que dijo:

"Microsoft has taken years of difficulties with security vulnerabilities and really condensed that experience down to a repeatable tool that takes a look at a crash and says 'You better take a look at this,'" Kaminsky told The Reg. "What makes !exploitable so fascinating is that it takes at least the first level of this knowledge and packages it up into something that can be in the workflow."

El tiempo nos dirá.-

Saludos, Leer más...

Seminario gratuito: Seguridad en redes sociales en la UPM.-

Copio información obtenida en CriptoRed:

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de Madrid, el seminario "Seguridad en redes sociales: ¿están nuestros datos protegidos?"
http://www.capsdesi.upm.es/

La asistencia es gratuita, si bien se requiere y recomienda una inscripción previa.

IMPORTANTE: El seminario se transmitirá por videostreaming a través de los servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url que se informará en breve en el sitio Web de la Cátedra. En este caso, no hace falta inscribirse pues su visualización es libre.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y debatirán temas relacionados con la seguridad de nuestros datos de carácter personal en este tipo de redes sociales, entornos virtuales que han adquirido una notable notoriedad pública en estos últimos años, convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe “Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online”, elaborado por el Instituto Nacional de Tecnologías de la Comunicación INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de febrero de 2009, podemos destacar de dicho documento:

“La notoriedad de estos espacios sociales online no queda exenta de riesgos o posibles ataques malintencionados. Es una preocupación de las organizaciones nacionales, europeas e internacionales con competencias en las materias afectadas por el uso de estas redes, que han impulsado la elaboración de normas y recomendaciones dirigidas a garantizar el acceso seguro de los usuarios –con especial atención a colectivos de menores e
incapaces- a estas nuevas posibilidades online.”

Por tal motivo, este seminario está dirigido a público en general y de forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

- D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
- D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
- Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
- D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
- D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
- Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
- D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
- D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

- "Los menores y las nuevas tecnologías", de D. Arturo Canalda.
- "Las redes sociales como nuevo entorno de confianza", de D. Ícaro Moyano.
- "Redes sociales: nueva frontera para la privacidad de los digital babies", de D. Emilio Aced.
- "Diagnóstico sobre la seguridad de la información y privacidad en las redes sociales online", de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde los asistentes podrán realizar sus preguntas a un grupo de expertos así como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM
Applus+, siguiendo las instrucciones que aparecen en dicho servidor:
http://www.capsdesi.upm.es/

Puede descargar el tríptico en formato pdf con el programa del seminario desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009
Hora: de 09:00 a 14:00 horas
Inscripción: gratuita pero requiere una inscripción previa
Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al teléfono 91 336 7842, en este último caso con atención solamente de 09:00 a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo solicite * Leer más...

Creando un punto de acceso falso Y utilizándolo para phising.-

El viernes pasado a último momento antes de salir de la oficina me encontré con una nota de OpenSec en la cual hacían referencia a la posibilidad de crear un punto de acceso falso con la utilizacion de airbase-ng , en su post describen todo el procedimiento para lograr esta tarea. Tras leerlo me fue imposible no decirme a mi mismo.. que buena oportunidad para el Phising! Lamentablemente no es una buena noticia, no obstante es una realidad que seguramente ya esta ocurriendo.

En que consiste este nuevo concepto de Phising en el cual la victima es la culpable por utilizar una red que no es de su propiedad. Supongamos que con el procedimiento redactado por la gente de OpenSec creamos un punto de acceso con un nombre llamativo y tentador (Wifi-HighSpeed Gratis o similares). Muchos usuarios se conectaran y en principio nada malo ocurriria salvo que un chico malo este detrás de todo esto. Y como podría ser.. simple creando páginas falsas de home banking, cuentas de email y demás, recordemos que él es el owner del punto de acceso y puede manejarnos a su antojo. No entrare en más detalles pero está claro que la configuracion de un servidor DNS para hacer este tipo de cosas no es demasiado dificil, tranquilamente podríamos crearnos un fake gmail,homebank, etc y redirigir esas peticiones a nuestro server (que inclusive puede estar localmente).

Asi que tengan cuidado en las Redes que se coenctan!

Saludos, Leer más...